Sacomtec

Android: Ứng dụng cài sẵn cũng đầy lỗ hổng bảo mật

Lỗ hổng trên ứng dụng cài đặt sẵn trên điện thoại Android có thể bị lợi dụng để gửi tin nhắn SMS, ghi âm cuộc gọi, hay thậm chí xóa bỏ dữ liệu từ thiết bị.

Các nhà nghiên cứu tại trường Đại học Bắc Carolina (Mỹ) đã khám phá ra hàng loạt lỗ hỏng trong cấu hình tiêu chuẩn của nhiều smartphone Android phổ biến của Motorola, HTC và Samsung, không bảo vệ người dùng triệt để khỏi các ứng dụng không đáng tin.

Văn bản vừa được nhà nghiên cứu Michael Grace, Yajin Zhou, Zhi Wang, và Xuxian Jiang công bố chỉ ra cách thức các lỗ hổng này có thể bị ứng dụng không đáng tin lợi dụng để gửi tin nhắn SMS, ghi âm cuộc gọi, hay thậm chí là xóa bỏ dữ liệu từ thiết bị mà không cần tới sự cho phép của người dùng.

Nhóm nhà nghiên cứu đánh giá mức độ bảo mật của 8 mẫu máy: HTC Legend, EVO 4G, Wildfire S; Motorola Droid và Droid X; Samsung Epic 4G; Google Nexus One và Nexus S. Trong số này, chỉ mẫu tham chiếu Android trên điện thoại của Google gặp phải vấn đề bảo mật tương đối nhỏ. Số còn lại khiến họ “kinh ngạc khi phát hiện các hình ảnh lưu trữ (trên điện thoại thử nghiệm) không tuân theo yêu cầu bảo mật của máy”. Nhóm đã chia sẻ kết quả với Google và các nhà sản xuất, và nhận được xác nhận lỗ hổng từ phía Google và Motorola.

Sử dụng phần mềm tự phát triển có tên Woodpecker, nhóm nghiên cứu phân tích từng ứng dụng cài sẵn trên điện thoại, tìm kiếm “khả năng rò rỉ” - ứng dụng nhạy cảm và hệ điều hành tiếp xúc với các ứng dụng khác cho phép bị truy cập bởi ứng dụng nhiễm độc mà người dùng không hay biết.

Những lỗ hổng vừa được tìm thấy rơi vào hai loại: lỗ hổng “tường minh” cho phép ứng dụng khai thác giao diện công khai hoặc dịch vụ của ứng dụng nào đó không cần người dùng cho phép và lỗ hổng “ẩn” cho phép các ứng dụng khác “thừa hưởng” quyền hạn từ ứng dụng khác có cùng giấy chứng nhận điện tử (các ứng dụng của cùng một người phát triển có thể tự động tương tác với nhau). Loại “tường minh” gây ra những lỗi bảo mật nghiêm trọng, trong khi loại “ẩn” có thể dẫn tới “nhận thức sai lệch về khả năng của ứng dụng” nhưng không phải là vấn đề nghiêm trọng.

Nhóm nghiên cứu tập trung vào 13 mẫu điện thoại Adnroid có thể xử lí thông tin nhạy cảm của người dùng hoặc có các tính năng như đánh dấu vị trí địa lí (geo-location), truy cập sổ địa chỉ, gửi tin nhắn SMS. Họ tìm thấy 11 trong 13 quyền ưu tiên bị rò rỉ rõ ràng bởi các ứng dụng cài đặt sẵn. Mẫu tồi tệ nhất là HTC Evo 4G, có tới 8 lỗ hổng. Khai thác lỗi này, nhóm tìm ra “ứng dụng không đáng tin cậy trên các ứng dụng bị ảnh hưởng có thể xóa bỏ dữ liệu điện thoại, gửi tin nhắn SMS, ghi âm cuộc gọi, hay sử dụng đánh dấu địa lí – tất cả đều không cần xin phép.”

Du Lam (Theo ICT News)


© 2007 -2024  Sacomtec | Homepage